美国报社以及在旧金山的另一家公司合作做了一项研究,我们建立了一个实验网络,由运行着不同操作系
统的六种网络所组成。为了监测这些系统在没有任何防御下多长时间会被入侵,我们把该网络接入旧金山的一条DSL线路。令人乍
舌的是,其中一台计算 机在接入网络4分钟后就被侵入了。
CNN:你之前提到社会工程学。这一项事情对你而言意味着什么?
米特尼克:社会工程学是利用、影响和蒙骗一个人的方法,一名企业中可信任的内部人员,完成一个要求,而这个要求通常会泄露
信息或者是完成某种对入侵者有利的事情。它能够使需要黑客用技术漏洞访问网站这样复杂的事情,变得像打一个电话那样简单。
CNN:当时的黑客他们是如何利用社会工程学的?
米特尼克:嗯,以Paris
Hilton为例吧。她曾在手机上遭到此事,有两个套路让她中招。一个是因为T-Mobile网站本身,另一个是用
她的电话号码在T-Mobile网站上申请重置密码服务,通过短信得到她的新密码,因为表面上手机只在机主手中。
接下来他们做的是,用一个称作来电身份欺骗的技术,能够改变其电话在来电显示上显示的电话号码。因此,他们假扮T-Mobile客
服,给她拨了一个电话,在来电显示上显示的是T-Mobile客服号码,接着他们告诉她说:“网络调整,你有收到一条关于重置密码的
短信吗?请您告诉我们短信的内容?”
而她毫不犹豫地照做了,这就是为什么那些人能得到她的T-Mobile好友信息,电子邮件,等任何东西。
举另外一个例子,国税局的调查员用办公室的电话做一项安全调查打给100名记录在册的IT业管理者,有35个人毫不犹豫的在电话
中将用户名和密码全盘托出。
所以,这是很大的威胁。一家公司可以花大钱,在网络防火墙、监测系统、加密和其他安全技术上,但是如果一名蓄意攻击者给公司
内部某个可信任的人员打了个电话,而这个人相信照做了,然后攻击者成功侵入,那么花在技术层面的资金完全就一文不值了。
CNN:你有多信任在线银行,以及在线使用信用卡?
米特尼克:我相信在线银行。你知道为什么吗?因为如果有人入侵我的帐号,从我的信用卡和在线银行帐户中欺诈我的钱,猜损失
的是谁?是银行,而不是我。
CNN:那么其他方面呢?你会在线支付或是在线购物吗?我只是好奇凯文·米特尼克是否担心帐户被盗?
米特尼克:有一次曾经有人盗用我的身份申请手机号码。这很糟。我倒希望十年前当我还是个逃犯时他们来盗用我的身份——那才
叫酷。被骗了400美元,他们用的是我母亲在拉斯维加斯的地址,而当时我以本名居住在加州。那其实很简单,因为你要做的只是窃
取某人的社会福利编 号。这又不是火箭上天。
但是,我毫不担心在线使用信用卡。有可能会被截取,但是把我作为个体而言,这不太可能。攻击者的目标可能性较大是银行。这样
他们才能得到很多用户的姓名和密码,获得很多帐号的访问权限,而不是仅仅得到我的。我相信在线使用信用卡比在Macy's百货公
司更安全,在那里的雇员可以很容易得到信用卡号,或是比进到一家可以得到你信用卡号的酒吧、餐馆消费更安全。
CNN:你现在也算是明星了,至少是被崇拜的人,甚至是作为一名黑客出现在电视剧双面女间谍(Alias)中。你是如何看待自己的
名人效应的?
米特尼克:这很意思,因为我经历了当作威胁性危险人物的经历,并成为黑客标榜人物,导致在犯罪司法体系中带来了负面影响。
但是今昔非比,人们对我的技术感兴趣,如今我臭名昭著的名号在生意上给了我不少帮助。不是因为我过去做过什么,而是因为我
的技术能力众人皆知。
CNN:在此历程中你有所失吗?
米特尼克:不,没有,我并无所失。我很喜欢现在的生活。我很遗憾过去少不经事的我犯下很愚蠢的错误。我很庆幸再次得到机会,
可以用我的能力回来馈社会。 上一页 [1] [2]
|
